La condena por incumplimiento de Funds A single expone la escala del riesgo de derechos de la nube



los condena reciente de un trabajador tecnológico de Seattle acusado de llevar a cabo un ataque cibernético contra Cash Just one no es el last de la historia. La prueba mostró cómo una persona puede perpetrar una violación masiva de datos al explotar configuraciones incorrectas y privilegios excesivos comunes en muchos entornos de nube.

A raíz del ataque, y la violación de datos resultante, el gobierno federal multó a Capital 1 con $ 80 millones y resolvió las demandas de los clientes por $ 190 millones. Esto debería dar a las organizaciones un incentivo para implementar medidas para evitar los mismos errores.

El atacante, que era empleado de Amazon World-wide-web Expert services, creó una herramienta que le permitió escanear la plataforma de AWS en busca de cuentas mal configuradas. Usó servicios de anonimización como Tor Network e IPredator VPN para ocultar su dirección IP.

El atacante llevó a cabo un ataque de falsificación de solicitud del lado del servidor (SSRF) que le permitió engañar a un servidor para que hiciera llamadas creadas en un firewall de aplicaciones world-wide-web (WAF) mal configurado. Esto permitió al atacante de Capital A person extraer y explotar fácilmente las credenciales de la máquina y obtener acceso a datos confidenciales de los clientes, como nombres, direcciones y números de seguridad social.

Movimientos laterales y privilegio mínimo

Este caso ilustra cuán vulnerables son los sistemas en la nube a los derechos y configuraciones incorrectas. El pirata informático no solo pudo explotar una configuración incorrecta en el WAF para acceder al sistema, sino también obtener credenciales privilegiadas, moverse para descubrir depósitos de datos y luego filtrar esos datos.

Un Estudio de caso de MIT Sloan sobre la brecha concluyó que «es muy probable que Capital Just one no tuviera suficientes controles de gestión de acceso e identidad (IAM) para el entorno que fue pirateado». El estudio también señaló que el incidente podría haberse evitado mediante revisiones periódicas de las configuraciones de los usuarios para garantizar que los controles de acceso estuvieran utilizando correctamente el principio de privilegio mínimo.

El privilegio mínimo, como su nombre lo indica, dicta que los usuarios y las identidades de servicio pueden acceder solo a los recursos y aplicaciones que necesitan para hacer su trabajo y nada más. Esto permite que las organizaciones operen con agilidad mientras limitan el riesgo para la empresa y sus clientes. En el caso de Capital A single, el rol de IAM de la máquina WAF comprometida tenía privilegios de acceso más allá de lo necesario para sus funciones.

Este caso es un buen ejemplo de lo fácil que puede ser encontrar vulnerabilidades y explotarlas para abrir una puerta trasera en una empresa, incluso una que parece estar bien protegida. Las cargas de trabajo pueden verse comprometidas de tantas maneras que es imposible hacerlas a prueba de piratas informáticos. Incluso los mejores esfuerzos para parchear y actualizar el software, asegurar el acceso a la purple e implementar otras mejores prácticas de seguridad pueden dejar brechas que un pirata informático puede explotar.

Una vez dentro, la capacidad de un atacante para moverse lateralmente, sin ser detectado, outline el «radio de explosión» o la extensión del daño. La mejor manera de mitigar los ataques laterales es controlar el acceso ajustando los permisos otorgados a las cuentas humanas y de máquina (servicio). En el caso de Funds 1, el pirata informático pudo usar una identidad con permisos de acceso a registros de usuarios confidenciales que el rol claramente no necesitaba.

La complejidad de los entornos de nube dificulta la aplicación de la política de privilegios mínimos. Las herramientas nativas no brindan la visibilidad requerida de los permisos para la mitigación proactiva de riesgos. Además, la discutida brecha de talento en ciberseguridad significa que la mayoría de las organizaciones no tienen suficiente own y carecen de experiencia en la nube.

Como resultado, la gestión de permisos no recibe la atención que merece. De hecho, casi el 60 % de los CISO y otros responsables de la toma de decisiones de seguridad afirman que la falta de visibilidad, así como la gestión inadecuada de identidades y accesos, son amenazas importantes para su infraestructura en la nube. en un encuesta reciente de IDClos encuestados mencionaron el riesgo de acceso y la seguridad de la infraestructura entre sus principales prioridades de seguridad en la nube para los próximos 18 meses.

El redimensionamiento de los permisos es factible si los equipos de desarrollo y seguridad de una organización pueden identificar los derechos excesivos y saben cómo crear una política de privilegios mínimos que permitirá que las cargas de trabajo funcionen de manera efectiva. Esto se puede lograr utilizando la combinación correcta de tecnología, procesos y procedimientos. Considere las siguientes prácticas recomendadas para controlar los derechos y las configuraciones de la nube:

  • Gente:
    Asigne a alguien de la organización la responsabilidad de implementar una arquitectura de privilegios mínimos.
  • Proceso:
    Establezca una cadencia regular para revisar y remediar el riesgo de derechos en su organización, incluidas las revisiones de acceso para usuarios humanos y la remediación de privilegios no utilizados para los servicios.
  • Tecnología:
    Implemente tecnología que pueda monitorear continuamente el riesgo de derechos, remediar problemas automáticamente e identificar anomalías a escala de la nube.

Las organizaciones pueden aprender lecciones valiosas de este caso y las consecuencias financieras de no preocuparse por sus P y C de la nube, es decir, permisos y configuraciones.



Enlace a la noticia original